Disabilita la capacità di un utente di sbloccare un volume FileVault 2 all'avvio / accesso

28

Di recente ho eseguito un'installazione pulita di Lion su uno dei miei Mac. Il processo di installazione ha creato un account utente amministrativo. Dopo l'installazione, ho abilitato FileVault per l'intero disco. Quindi, ho creato un utente amministrativo aggiuntivo. Entrambi gli utenti sono in grado di decrittografare l'unità durante l'accesso.

Come potrei revocare i diritti di decodifica a uno degli utenti senza eliminare l'utente o disabilitare temporaneamente FileVault? Ho provato a revocare il privilegio di amministratore di un utente, rendendolo un utente normale, ma sono ancora in grado di decrittografare l'unità durante l'avvio.

macos  lion  filevault 
kccricket
fonte
Poiché la cartella principale dell'utente è memorizzata su un disco crittografato (così come su tutte le applicazioni), è possibile sospendere tale account utente se il disco rimarrà crittografato. Forse mi manca qualcosa, ma sembra letteralmente impossibile da fare.
bmike
Questa non è una risposta, solo alcune informazioni di base per aiutarci a trovare una risposta. Non ho ancora il rappresentante per commentare. Questo dovrebbe effettivamente essere possibile, a condizione che possiamo trovare il posto dove modificare le autorizzazioni. Nell'articolo di supporto Apple del 22 luglio 2011 ["OS X Lion: About FileVault 2"] [a], si afferma quanto segue:> Gli utenti non abilitati per lo sblocco di FileVault potranno accedere a quel Mac solo dopo aver abilitato lo sblocco l'utente ha avviato o sbloccato l'unità. Una volta sbloccata, l'unità rimane sbloccata e disponibile per tutti gli utenti, fino a quando il computer non si spegne, va in letargo o si spegne. H
Herb Mann
Se il computer ha già più account utente quando abiliti FileVault2, ti chiederà quali utenti desideri consentire di decrittografare l'unità durante l'avvio. Pertanto, è possibile che solo alcuni account utente abbiano accesso. Se hai utenti Amy e Barry e dai accesso solo ad Amy, dovrà accedere durante l'avvio prima che Barry possa passare al suo account. Potresti avere ragione sul fatto che potrebbe essere impossibile farlo date le mie restrizioni, ma non mi arrendo ancora. :-)
kccricket,
Caspita - sembra che abbia bisogno di studiare di più prima di dire impossibile :-) Ho potuto vedere come questo sarebbe realizzato memorizzando una chiave (anziché la password) nel portachiavi di quegli utenti. Hai guardato lì per vedere se è così semplice?
bmike
Ho trovato un articolo che afferma che la chiave di decodifica è memorizzata nel portachiavi dell'utente. Non riesco a trovare alcuna prova di ciò nel login o nei portachiavi di sistema. In ogni caso, ciò non avrebbe senso, poiché i portachiavi sono memorizzati nella partizione crittografata. Non ci sarebbe modo di raggiungerli senza prima decifrare l'unità. Ho letto un articolo (non riesco a trovarlo ora) in cui si afferma che la chiave di crittografia è memorizzata nella partizione di ripristino, ma ho esaminato questo e non sono riuscito a trovare nulla di degno di nota. È un vero enigma.
kccricket,

Risposte:

37

Usa fdesetup:

sudo fdesetup remove -user username

Vedi: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
fonte
Questo è corretto per Mountain Lion, anche se non sono sicuro 1) che funzioni per Lion o 2) era disponibile in Lion quando la domanda era stata inizialmente posta.
TJ Luoma,
Funziona anche su Mavericks
Devon_C_Miller
3
E funziona anche su OS X 10.10 Yosemite.
Rafael Bugajewski,
1
sudo fdesetup remove -user usernamefunziona anche su macOS 10.12 Sierra!
Jaume,
1
sudo fdesetup remove -user usernameFunziona anche per macOS 10.13 High Sierra.
Kappa,
4

Non è impossibile (Anche se hai cancellato l'utente, potresti averlo reso più complicato!)

Ho scritto l'articolo "jaydisc" collegato e testato che funziona ancora in 10.7.4:

Supponiamo di avere un utente amministratore "charlie" che si desidera poter utilizzare, ma non sbloccare, il computer:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Nota che non puoi farlo:

sudo passwd charlie
Changing password for charlie.
New password:

perché se premi invio quando ricevi il 'nuovo prompt password' tornerà e dirà:

Password unchanged.
TJ Luoma
fonte
2

FileVault 2 e Recovery HD

Recovery HD da non confondere con il sistema operativo di ripristino (uno è maggiore dell'altro).

Quando si abilita FileVault 2 per un utente: la partizione HD Apple_Boot Recovery nascosta non crittografata, separata da ma critica al volume di avvio crittografato, viene temporaneamente montata per le scritture su EFI e altri file. Se si desidera visualizzare l'attività di questo file system, abilitando l'utente a scopi di sblocco:

  • prima di fare clic su Fine , utilizzare un comando come fs_usage o un'applicazione come fseventer .

Uno sguardo all'attività suggerisce che le modifiche al volume non crittografato - in relazione all'account utente sul volume crittografato - non sono banali .

Se a un utente viene data l'autorizzazione inappropriata per sbloccare

Forse un aggiornamento a Lion (qualcosa di più grande di Build 11A511) fornirà un modo per rimuovere, dalla finestra di login di EFI, un utente che non dovrebbe più essere in grado di sbloccare il volume di avvio.

Nel frattempo riesco a pensare solo a due metodi che possono essere usati.

Metodo A: disabilitare quindi abilitare FileVault

  1. disabilita FileVault 2

  2. consentire il completamento della conversione all'indietro

  3. riavvia il sistema operativo

  4. abilita FileVault 2, ma non per quell'utente.

Metodo B: rimuovere l'utente ma non la home directory, eccetera

Non ho testato questo metodo, immagino che potrebbe funzionare quanto segue:

  1. di riserva

  2. rimuovere l'utente ma non la home directory dell'utente

  3. riavvia il sistema operativo

  4. crea un nuovo utente con lo stesso RecordName dell'originale

  5. impostare un numero UniqueID diverso dall'originale

  6. associa la home directory precedente al nuovo utente.

Graham Perrin
fonte
0

Ecco la risposta molto semplice su come disabilitare l'accesso di un utente precedentemente abilitato a un'unità crittografata FileVault 2:

Nel terminale, utilizzare:

sudo fdesetup remove -user Username

Successivamente vedrai l'utente disabilitato nell'elenco degli utenti disponibili per l'abilitazione in Preferenze di Sistema-> Sicurezza e Privacy -> FileVault come verifica che la disabilitazione sia avvenuta correttamente

Yhen
fonte
3
In cosa differisce dalla risposta accettata?
Nohillside
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.